Avertizare: Breșă de securitate informatică pentru clienții OTP Leasing România. Reacția conducerii companiei

Cristian Iosub, unul dintre specialiștii renumiți în piața marketingului digital, a detaliat, într-un articol publicat de site-ul personal, cum a ajuns să aibă acces total la datele personale a peste 2.700 de clienți activi ai companiei OTP Leasing România.

În articolul publicat recent pe site-ul său, Cristian Iosub a explicat, pas cu pas, cum a decoperit breșa de securitate, obținând „acces deplin la datele personale ale 2.715 clienți activi OTP Leasing și peste 15.490 contracte , incluzând nume, prenume, nume societate, număr de telefon, adresa email, serie șasiu, echipamente, contract, situație financiară și multe alte date pe care este mai bine să nu ajungă vreodată online”.

Cristian Iosub are o experienţă de peste 17 ani în marketing digital, marketing afiliat şi e-commerce şi a ajutat la creşterea şi maturizarea mai multor companii din diverse domenii, prin implementarea de strategii de dezvoltare.

„În contextul OTP Leasing vina principală este aroganța (vezi imediat de ce), nepăsarea și incompetența”, spune Cristian Iosub despre compania de leasing.

Conform informațiilor oficiale de pe site-ul companiei, „cu o experiență de peste 13 ani pe piața de profil din România, OTP Leasing România IFN SA sprijină companiile din România să dezvolte proiecte pe termen lung prin intermediul soluțiilor de leasing financiar personalizate și adaptate fiecarui sector de business”.

OTP Leasing România face parte din grupul OTP Bank, acționarii majoritari fiind OTP Bank România și Merkantil Bank Ungaria (parte a Merkantil Ungaria). OTP Bank România este subsidiara OTP Bank. OTP Leasing România este prezent pe piața de profil din România din 2007. Conform companiei, OTP Leasing oferă un portofoliu variat de leasing financiar destinat persoanelor juridice și persoanelor fizice autorizate pentru achiziția de autoturisme, vehicule comerciale, echipamente.

Într-un răspuns pentru Gândul pentru un punct de vedere privind deficiența în gestionarea datelor clienților constatată de Cristian Iosub, directorul general al OTP Leasing România, Toni Tătaru, a dat asigurări că situația semnalată este analizată.

„Am transmis solicitarea dumneavoastră colegilor care gestionează activitatea de comunicare la nivelul companiei noastre, care vor răspunde în cel mai scurt timp posibil. Vă asigur de întreg suportul meu și al colegilor mei pentru o prezentare reală și corectă a situației la care faceți referire. Mulțumesc pentru suport și înțelegere”, a transmis Toni Tătaru.

„Incidentul cibernetic menționat a fost remediat în doar câteva ore”

OTP Leasing a transmis ulterior un punct de vedere oficial, prin care anunță că „incidentul cibernetic nu a afectat și nu va afecta în niciun fel activitatea clienților OTP Leasing” și a fost remediat în doar câteva ore după primirea primului indiciu.

„Considerăm că articolul recent apărut în media online cu privire la vulnerabilitatea sistemelor informatice ale instituției OTP Leasing conține o serie de inexactități tehnice. Mai mult decât atât, modul în care autorul, care este și client OTP Leasing, a încercat să obțină date prin acces neautorizat la sistemele informatice, depășește în mai multe aspecte termenul de ethical hacking, creându-se astfel premisele săvârșirii unor potențiale infracțiuni din sfera criminalității informatice.

Dorim să clarificăm faptul că incidentul cibernetic nu a afectat și nu va afecta în niciun fel activitatea clienților OTP Leasing. Din verificările efectuate, datele accesate de către clientul în cauză au fost fragmentare și nu a existat în niciun moment riscul alterării sau modificării lor, baza de date nefiind afectată. În același timp, menționăm că nu a fost identificată nicio altă încercare de accesare a datelor, în afară de cea a clientului neautorizat și nu a vizat nicio altă companie din grupul OTP.

Incidentul cibernetic menționat a fost remediat în doar câteva ore după primirea primului indiciu relevant de accesare neautorizată a datelor.

OTP Leasing a sesizat autoritățile abilitate în cel mai scurt timp de la atestarea accesului neautorizat. Din analiza noastră, situația creată reprezintă și o încălcare a unor obligații contractuale, dar și a unor prevederi legale”, a trasmis OTP Leasing.

Ulterior, OTP Leasing a anunțat că a depus plângere penală împotriva autorului și a sesizat autoritățile abilitate în cel mai scurt timp de la atestarea accesului neautorizat.

Articolul integral semnat de Cristian Iosub:

Data Breach OTP Leasing – CVD

„OTP Leasing face parte din grupul OTP Bank, acționarii majoritari fiind OTP Bank România și Merkantil Bank Ungaria (parte a Merkantil Ungaria).

În România este prezent din 2007 și oferă un portofoliu variat de leasing financiar destinat persoanelor juridice și persoanelor fizice autorizate pentru achiziția de autoturisme, camioane, autoutilitare, echipamente și utilaje.

Până în jurul datei de 11.05.2022 persoane neautorizate au avut acces la datele personale și financiare ale clienților OTP Leasing, ce erau disponibile în platforma MyLeasing și sincronizate totodată cu informațiile din Charisma.

În data de 03.03.2022 am creat un cont de utilizator în platforma MyLeasing, unde ar fi trebuit să văd date cu privire la un contract de Leasing pe care îl administrez și tot din acea platformă ar fi trebuit să pot genera cererea de scoatere a autoturismului din țară. În dashboard-ul contului creat am văzut că ar fi fost undeva la 2.700 de conturi și peste 15.000 de contracte dar fiind o perioadă foarte aglomerată pentru mine am crezut că este un simplu text de marketing prin care OTP Leasing scoate în față faptul că clienții săi ar avea și câte zece contracte de leasing, fără să verific dacă nu cumva erau linkuri sub acele numere.

În data de 09.03.2022 am primit datele de autentificare pe email dar din nou nu am avut timp să și verific dacă au alocat contractul pe contul pe care deja îl creasem sau este unul nou.

Abia luna următoare mi-am dat seama când am vrut să plătesc creditul că am acces deplin la datele personale ale 2.715 clienți activi OTP Leasing și peste 15.490 contracte , incluzând nume, prenume, nume societate, număr de telefon, adresa email, serie șasiu, echipamente, contract, situație financiară și multe alte date pe care este mai bine să nu ajungă vreodată online. Tot ce am crezut până atunci că ar fi dummy data erau de fapt datele clienților OTP iar contul creat din interfața web oferea drepturi de administrator în platformă. Presupunerea mea este că acele 2715 conturi au fost create prin Charisma.

Lipsa măsurilor minime de securitate în materie de  drepturi de acces pentru utilizatorii acestei platforme, împreună cu lipsa unei monitorizări a acțiunilor utilizatorilor pot fi decisive în existența unei companii dacă persoana care are acces la aceste date le exploatează în scopuri malițioase. Cu atât mai mult cu cât sectorul financiar este poate cel mai râvnit de către actori ai unor țări nu tocmai prietenoase cu România. Dovadă este și faptul că în luna mai au existat mai multe atacuri cibernetice asupra băncii din grupul OTP.

Securitatea rețelelor și a sistemelor informatice înseamnă capacitatea unei rețele și a unui sistem informatic de a rezista, la un nivel de încredere dat, oricărei acțiuni care compromite disponibilitatea, autenticitatea, integritatea sau confidențialitatea datelor stocate / transmise / prelucrate ori a serviciilor conexe oferite de rețeaua / de sistemele informatice respective sau accesibile prin intermediul acestora.

În securitatea informației, o vulnerabilitate este o slăbiciune a unui calculator sau a unei rețele, ce permite unui atacator să reducă asigurarea informației. Vulnerabilitatea este intersecția a trei elemente: susceptibilitatea unui sistem sau defectul, accesul atacatorului la defect și capacitatea atacatorului de a exploata defectul.

În contextul OTP Leasing vina principală este aroganța (vezi imediat de ce), nepăsarea și incompetența.

Într-o eră în care informațiile nu mai stau la bancă în registru de hârtie ci pe hard diskuri, unele companii au înființat inclusiv departamente de Digital Transformation deci te aștepți să ai totuși un partener de discuție. Totuși, OTP Leasing a ignorat cu succes 3 emailuri prin care îi notificam asupra datelor pe care mi le expuneau în interfața de client. Toni Tătaru chiar mi-a și vizitat profilul de LinkedIn, dar a preferat să nu se implice.

Ei bine, ăsta e momentul acela când îmi vine să le urc toată baza pe forumuri rusești și să se descurce singuri mai departe în toate campaniile de fraudă ce ar urma. E și un pic penibil, adică îți spune cineva că ai uitat cheile în ușă și ai 3 suedezi în casă care tocmai ți-o golesc și efectiv nu îți pasă. Asta îmi aduce aminte de o altă companie care făcuse pentru un client ceva site pe OpenCart și l-au hăckuit niște băieți, au pus conținut în japoneză și project managerul era supărat că l-am deranjat de la nu știu ce petrecere, că știe că așa e site-ul de o săptămână dar a crezut că e de la browserul lui doar. Magazin online, carduri, date personale, dar oamenii sunt sensibili dacă îi deranjezi de la petrecere.

Revenind la OTP, abia pe 2 mai s-a întors din concediu o angajată care a tras bățul scurt și au pus-o să ma sune pentru că deja ajunsesem să spamez CEO-ul companiei. Care angajată, deși spunea că ar fi avut poziție de C level, nu înțelegea nici măcar 20% din ce riscuri explicam în raport și cumva sentimentul personal a fost din zona de flower-power.

În principiu puteam să văd și să editez datele personale ale oricărui client activ OTP Leasing pe care îl găseam în platformă (de la clienți cu un autoturism până la flote și echipamente industriale), puteam să șterg utilizatorii cu drept de administrare fără să fiu logat nicăieri (! vorbesc cât se poate de serios), IDOR-uri peste tot de la contracte până la rapoarte financiare, dar le luăm pe rând în capturile de mai jos ca să le pot exemplifica cât mai bine. Și chiar dacă probabil nu e prima oară când citești un CVD, reiau explicațiile vulnerabilităților tocmai pentru a fi ușor de înțeles și de către persoane non tehnice.

OTP Leasing a fost avantajat că a primit și video-uri, pdf-uri cu poze, un adevărat manual de training.

După cum spuneam într-un articol trecut, cele mai multe atacuri cibernetice sunt silent iar datele cu caracter personal și credențialele sunt comercializate pentru foarte foarte mulți bani pe darkweb.

Impersonalizarea unui client oferă posibilitatea unui actor malițios de a vizualiza datele personale ale reprezentantului companiei client, de a vizualiza informații cu privire la obiectul contractului de leasing inclusiv seria de șasiu a unui autovehicul, facturile, facturile scadente precum și plățile efectuate.

Ca exemplu de aplicabilitate, pe baza unui comportament firesc al unui utilizator OTP Leasing, cu cunoștințe minime tehnice despre cum funcționează un portal web, cum funcționează un browser și internetul în general, un potențial atacator inclusiv un actor din categoria spionajului economic poate avea acces la toate contractele înregistrate în portalul suport.otp-leasing.ro, le poate descărca cu ajutorul unui offline browser și ulterior poate genera cu ușurință o campanie de phishing coordonată, poate folosi acele date în scopuri comerciale putând fi vândute către alte companii de leasing sau de creditare dornice să refinanțeze creditele în favoarea lor sau chiar să ofere pachete de produse complementare. Spionajul economic e real și chiar se întâmplă.

La fel de bine nu știm încă la cât de multe persoane a ajuns deja accesul cu drept de administrator în platforma MyLeasing, cert este că poți orchestra campanii de phishing de câteva zeci de milioane de euro cu ajutorul profilelor obținute.

Această breșă de securitate era în mediul producție, nu vreun sandbox sau vreun server de staging și reprezintă o încălcare majoră în materie de protecție a datelor cu caracter personal având în vedere că persoanele desemnate ca fiind responsabile de contractele OTP Leasing din partea clientului final utilizează de exemplu numele,  numărul de telefon și adresa de email personale, multe dintre acestea nefiind asociate neapărat companiei pentru care încheiat contractul de Leasing.

Nu am informații cu privire la vechimea acestor vulnerabilități, cât au fost disponibile, câte persoane au accesat anterior bazele de date OTP Leasing, cert este că nu s-a autosesizat nimeni că era un utilizator cu drepturi administrative care nu era angajat OTP 🙂 Asta face diferența între a fi ethical sau a merge în zone gri ale legislației, că puteam să rămân administrator luni de zile și nu se prindea nimeni. La un moment dat am văzut că a mai apărut încă o utilizatoare cu drepturi administrative după mine, deci cred cu toată sinceritatea că nu aveau niciun sistem de prevenire sau de alertare.

În exemplul de mai sus nu eram autentificat nici măcar cu drepturile unui client normal OTP Leasing, fiind incognito, și cu toate acestea puteam să șterg utilizatori ([email protected] era tot al meu).

De asemenea, mai vorbim și de o vulnerabilitate de tip IDOR, de o vulnerabilitate care de fapt este un bug ușor de exploatat de către persoane care nu au cunoștințe tehnice, însă înțeleg cum funcționează internetul, cum funcționează un browser și au o gândire ușor analitică. Atacurile de tip IDOR sunt de mai multe feluri iar în cazul nostru specific vorbim de o modificare a adresei URL. Nu vorbim de manipularea corpului conținutului paginii, nu vorbim de solicitări HTTP făcute cu un BurpSuite sau cu alte tool-uri ci vorbim doar de o simplă schimbare a adresei URL, fiind autentificat ca orice client simplu, fără privilegii administrative. Cu toate acestea o simplă schimbare de ID din URL returnează informații valoroase pentru orice atacator.

Într-una din capturile prezentate în continuare, simpla modificare a ID-ului de document duce la afișarea neautorizată a scadențarului sau documentelor altor utilizatori, chiar din interfața clientului.

Din dorința de a fi cu un pas înaintea competitorilor și oferirea unor servicii online într-un ritm alert, deseori se încalcă flagrant principiile prelucrării datelor cu caracter personal în ceea ce privește securitatea adecvată a datelor cu caracter personal. Măsurile împotriva prelucrării neautorizate sau ilegale și împotriva pierderii, a distrugerii sau a deteriorării accidentale, prin luarea de măsuri tehnice sau organizatorice corespunzătoare sunt deseori puse pe un loc secund și astfel drepturile persoanei vizate nu sunt respectate și pot duce la prejudicii financiare considerabile. Lipsa confidențialității și nerespectarea unor drepturi fundamentale ale persoanelor vizate (chiar dacă sunt fără reaua intenție a operatorului) pot risca amenzi din partea ANSPDCP și în funcție de prejudiciul creat putem discuta chiar și de despăgubiri de către clienți. – Iulian C – Data Protection Officer in sector financiar.

Cum raportul meu a fost circulat destul de mult în interiorul organizației, nu există o persoană de contact care să fie și factor de decizie. De la CEO am ajuns la COO, ultimul mail fiind primit în spam (!) de pe o adresa de marketing@ . Acum, fiecare companie își administrează resursele după propriile posibilități, dar să desemnezi departamentul de marketing ca fiind responsabil de comunicarea cu cineva care îți raportează un data breach masiv, cred că este o eroare pentru că ar trebui să existe și o înțelegere a implicațiilor, nu doar un forward la un email. Dar repet, este treaba fiecăruia de a își administra propriile resurse și mai ales priorități după cum consideră că este benefic pentru organizația sa.

Important este că până la momentul publicării acestui articol nu am primit niciun răspuns din partea OTP Leasing deși am oferit dreptul la replică.”